Ein Erfahrungsbericht von Felix Thümmler
IT-Sicherheit ist ein sehr breites Feld.
Sicherheitsforschung, Red Teaming, Blue Teaming, Incident Response, Thread Intelligence, Malware Analyse, Bug Bounty… die Liste ist lang.
Viele Personen, die sich im weiteren Feld der Informatik bewegen, haben ein allgemeines Interesse an IT-Sicherheit.
Oft sind sie sich allerdings nicht sicher, wo eigentlich ihre Interessen und Stärken liegen und wie sie die ersten Schritte gehen sollen.
Dabei ist der Einstieg im Jahr 2025 leichter denn je.
Schon lange ist es nicht mehr notwendig sich in shady Hacker Foren und Chaträumen herumzutreiben.
Diverse Plattformen existieren, die einen bei der Reise vom interessierten Anfänger zum Profi unterstützen.
Nirgends bin ich bisher diverseren Werdegängen begegnet als in der Hacker Community.
Regelmäßig begegne ich Hackern, die vorher in der Gastronomie, dem Gesundheitswesen oder in der Verwaltung tätig waren. Genauso begegne ich Personen die nach dem Abitur direkt Cyber Security studiert haben und dann ins Berufsleben eingestiegen sind.
Hacken kann jeder und jede lernen, es muss nur Zeit und Interesse mitgebracht werden.
Das sagt sich so leicht. Aber Zeit mitbringen bedeutet, dass die IT-Sicherheit kein Feld ist, in dem man einmal eine Ausbildung macht und dann den Rest seiner Karriere diesem Beruf nachgehen kann. Es braucht eine intrinsische Motivation, damit man sich auch außerhalb der Arbeitszeit mit Themen aus der IT-Sicherheit beschäftigt. Man muss das Bedürfnis verspüren im Detail verstehen zu wollen, wie Dinge funktionieren und darf keine Angst davor haben, neue Dinge zu lernen, von denen man noch nichts versteht.
Auch wenn die Wege in die IT-Sicherheit und die Betätigungsfelder in diesem Bereich sehr vielfältig sind, möchte ich diesen Blog-Artikel nutzen, um euch meinen Werdegang etwas näherzubringen.
Bevor ich mein Interesse für IT-Sicherheit entdeckte habe ich etwa 5 Jahre als Administrator gearbeitet.
Erst 2 1/2 Jahre als Windows Systemadministrator. In der Zeit habe ich die interne IT von diverse Firmen betreut.
Von der kleinen Start-up-Bude in Berlin bis zu multinationalen Konzernen mit tausenden von Mitarbeitern.
Danach habe ich 2 1/2 Jahre als Linux Administrator im Rechenzentrum gearbeitet.
Dort war ich in einem Team für den Betrieb, die Planung und den Ausbau der Rechenzentrumsinfrastruktur zuständig.
Wie viele Informatiker hatte ich mir mal ein Kali aufgesetzt, ein bisschen herumgespielt, aber mehr auch nicht.
Die Jahre strichen so langsam ins Land und ich hätte auch noch 10 Jahre als Linux Admin im Rechenzentrum arbeiten können.
Man war dort sehr zufrieden mit mir und die einzige Herausforderung war es, regelmäßig mein Gehalt durch Verhandlungen den stetig wachsenden Verantwortungen und Rollen anzupassen.
Aber irgendwie hatte ich immer mit dem Gedanken gespielt eines Tages vielleicht doch mal zu studieren.
Und je älter ich wurde, umso weniger habe ich mir vorstellen können von BAföG lebend zwischen Anfang zwanzig Jährigen zu studieren.
Also hieß es jetzt oder nie.
Vor etwa vier Jahren dann, genauer gesagt am 14.10.2021, begann mein Einstieg in die IT-Sicherheit.
Frisch an der Uni angekommen flatterte eine E-Mail in mein Postfach.
Ever wanted to explore the world of cybersecurity?
Maybe you're curious about hacking, considering a career in the field, or simply
enjoy taking things apart to understand how they work and discover what else they can do.
Whether you're brand new to the topic or have years of experience,
we believe you’ll find something here that sparks your interest.
We're HTW Hackt — a community where everyone with an interest in cybersecurity is welcome.
Ich musste damals daran denken, wie oft „Erfolg“ von Zufällen abhängt.
Ob man eine Chance bekommt, liegt in der Regel außerhalb des eigenen Einflussbereichs.
Man kann aber bereit zu sein und eine Chance zu ergreifen, wenn sie sich einem bietet.
Und diese Chance wollte ich nicht verstreichen lassen.
Ich habe also auf diese Mail geantwortet und bin zu einem Treffen mit HTW-Hackt gegangen.
HTW-Hackt ist eine Gruppe von Studierenden an der HTW Berlin mit einem Interesse an IT-Sicherheit.
Sie hatten sich gegründet, da es an der Hochschule noch keinen Studiengang zu IT-Sicherheit gab.
Hier habe ich gelernt was ein Capture the Flag Tunier ist und vor allem, wo ich mich selbst weiterbilden kann.
Capture the Flag oder kurz CTF ist ein Wettstreit, bei dem Teams von Hackern ihre Fähigkeiten testen.
Der Veranstalter konfrontiert die Teams über den Verlauf von meist 24 oder 48 Stunden mit Herausforderungen aus unterschiedlichen Disziplinen. Flaggen sind hierbei kurze Textblöcke wie ctf{31ne_Fl@gg3}, auf die man nur zugreifen kann, wenn man die Herausforderung löst.
Gibt man diese Flagge dann beim Betreiber ab, erhält man die für diese Aufgabe vorgesehene Anzahl an Punkten.
In der Kategorie „Web“ kann dies bedeuten eine Schwachstelle in einem Webshop zu finden, die einem Zugriff auf die komplette Datenbank gibt. Nur wer diese Schwachstelle identifizieren und ausnutzen kann, kommt an die Flagge.
In dem Bereich „Forensik“ kann es wiederum bedeuten, eine bereitgestellte Logdatei untersuchen zu müssen.
Identifiziert man, wie sich die Angreifenden Zugang zu einem System verschafft haben, findet man dort dann auch die Flagge.
In diesen Turnieren lernt man voneinander.
Wenn ich etwas nicht verstand, waren kompetente hilfsbereite Hacker da, um mir Dinge zu zeigen.
Und konnte man etwas nicht lösen, so hat man sich als Team nach dem Tunier die Lösung der anderen Teams angesehen. Auf diese Weise hat man neue Werkzeuge, Methodiken und Tricks gelernt.
Bei HTW-Hackt pflegen wir eine Kultur von „See one, do one, teach one“.
Wer etwas neues lernt, an dem Andere auch Interesse haben, teilt sein Wissen.
So habe ich beispielsweise Workshops zu Radio Hacking, Hardware Hacking und diversen anderen Themen gegeben.
Mit der Zeit wurden wir besser und qualifizierten uns für diverse Turniere im In- und Ausland.
Der ASTA unterstütze uns mit der Erstattung der Reisekosten und so konnten wir beispielsweise als Gruppe zu einem Finale nach Paris reisen.
Viele lustige und coole Geschichten erlebten wir auf diesen Hacking Reisen, lernten spannende Personen kennen und schlossen Freundschaften.
Ziel von HTW-Hackt ist es Studierenden zu zeigen, dass Hacking Spaß machen und in einem sicheren Umfeld erlernt werden kann. Wir legen dabei großen Wert darauf, dass wir ausschließlich legales Hacking betreiben und versuchen den Studierenden ein gutes Vorbild zu sein.
Jedes Semester veranstalten wir ein sogenanntes „Newbie Event“, wo wir uns den Studierenden vorstellen, ihnen den Umgang mit Lernplattformen zeigen und dann mit ihnen eine einfache Hacking-Challenge lösen. So auch diesen Samstag, den 11.10.2025.
Inzwischen sind die meisten von uns in unterschiedlichen Bereichen der IT-Sicherheit tätig.
Ich habe seit meinem Einstieg bei HTW Hackt Sicherheitslücken (CVEs) gefunden, Geld mit Bug Bounties verdient und viel Spaß am Gerät gehabt.
Einige von uns sind im RedTeaming und Penetration Testing gelandet, andere in digitaler Forensik und Incident Response. Manche sind (wie ich) fest angestellt, arbeiten als Freelancer, sind verbeamtet oder unterrichten selbst an Unis und Hochschulen.
Dennoch sind wir weiterhin in Kontakt, hacken zusammen, forschen zusammen und zeigen noch immer Neulingen den Weg in die IT-Sicherheit. Wie auch uns mal jemand den Weg in die IT-Sicherheit gezeigt hat.
Seit dem 15.09.2025 bin ich nun Teil der Mint Secure GmbH.
Auch wenn die Reise hier grade erst losgeht, habe ich doch bereits viele spannende Aufgaben auf den Tisch bekommen. Von Kunden, deren Infrastruktur ich testen darf, bis hin zu Ransomware Cases in denen nachvollzogen werden muss, wie die Angreifenden sich durch die Infrastruktur bewegt haben.
Ich kann euch mehr davon erzählen, aber dann müsst ihr erst mal einen Arbeitsvertrag und ein NDA unterschreiben 😉
Gerne teste ich auch eure Firma, bucht dafür einfach einen unserer Services.
Bei der Mint Secure machen wir auch Security Research.
Wenn ihr ein spannendes Thema habt, meldet euch gerne bei mir.
—
Dieser Blog-Artikel ist jetzt länger geworden als ich es initial geplant hatte.
Und auch etwas persönlicher.
Ich hoffe, er konnte euch ein Bild von mir und meinem Werdegang zeichnen.
Gruß,
Felix Thümmler aka Ori